Mobile Application Management (MAM): Schutz sensibler Daten auf mobilen Geräten

In der heutigen Arbeitswelt sind mobile Endgeräte unverzichtbar. Mitarbeitende nutzen Smartphones, Tablets und Laptops, um von überall aus produktiv zu arbeiten. Doch wie organisiert man dies als Arbeitgeber – insbesondere unter dem Aspekt der Sicherheit? Wie schützt man Unternehmensdaten, wenn Mitarbeitende ihre privaten Geräte verwenden? Sollten die Mitarbeitenden zwei Smartphones mit sich herumtragen? Oder ist auch «BYOD – Bring Your Own Device» möglich, ohne Kompromisse bei der Sicherheit einzugehen?

Jedes Unternehmen und jede Organisation sollte diese Fragen individuell für sich und ihre Mitarbeitenden klären. Doch bei der Sicherheit sind keine Kompromisse nötig. Microsoft-Kunden können sich auf zwei bewährte Konzepte verlassen, die wir bei Baggenstos einsetzen und in zwei Artikeln vorstellen: Heute geht es um Microsoft Mobile Application Management (MAM), also die Verwaltung mobiler Anwendungen. In den nächsten Blogpost folgt das Topic Microsoft Mobile Device Management (MDM), also die Verwaltung mobiler Geräte.

Microsoft Intune

Ein Service umfasst und steuert beide Bereiche: Microsoft Intune ist die cloudbasierte Lösung für die Verwaltung und Sicherung mobiler Endgeräte und Anwendungen. Unternehmen können damit sowohl Geräte als auch Apps verwalten, um Unternehmensdaten zu schützen.

Eine der zentralen Funktionen von Intune ist Microsoft Mobile Application Management (MAM). Es ermöglicht den Schutz und die Verwaltung von Unternehmensdaten auf App-Ebene, ohne dass ein vollständiges Gerätemanagement erforderlich ist – wie es etwa bei Mobile Device Management (MDM) der Fall wäre.

Als Faustregel gilt: MAM eignet sich besonders für BYOD-Geräte (Bring Your Own Device) der Mitarbeitenden, während MDM für unternehmenseigene Geräte vorgesehen ist, die zentral verwaltet werden sollen. Mit beiden Ansätzen können Unternehmen sicherstellen, dass sensible Informationen innerhalb geschäftsrelevanter Apps geschützt bleiben – unabhängig davon, ob die Geräte privat oder firmeneigen sind.

Die Vorteile von Mobile Application Management (MAM) für Unternehmen

1. Schutz von Unternehmensdaten, ohne das Gerät zu verwalten
Nicht alle Mitarbeitenden möchten ihre privaten Geräte in ein Mobile Device Management (MDM) einbinden. MAM ermöglicht es Unternehmen, gezielt bestimmte Apps zu verwalten und zu schützen, ohne Zugriff auf das gesamte Gerät zu benötigen. Somit wird auch die Privatsphäre der Mitarbeitenden in allen übrigen Anwendungen gewahrt.

2. Selektive Datenkontrolle in Apps

Mit MAM können Organisationen Richtlinien für Unternehmens-Apps durchsetzen, zum Beispiel:

• Verhinderung von Datenlecks: Unternehmen können steuern, ob Inhalte aus Unternehmens-Apps kopiert und in private Apps eingefügt werden dürfen.
• Verschlüsselung von Unternehmensdaten: Daten in geschäftlichen Apps bleiben verschlüsselt.
• Löschung von Unternehmensdaten: Falls eine Mitarbeitende das Unternehmen verlässt, lassen sich nur die Unternehmensdaten aus der App entfernen, ohne das gesamte Gerät zu löschen

3. Unterstützung von BYOD («Bring Your Own Device»)

Viele Unternehmen setzen auf BYOD-Strategien, bei denen Mitarbeitende ihre eigenen Geräte für die Arbeit nutzen. MAM ermöglicht eine sichere Nutzung von Unternehmens-Apps auf diesen Geräten, ohne die Privatsphäre der Mitarbeitenden zu beeinträchtigen.

Wie funktioniert MAM in der Praxis? 

Microsoft Intune bietet MAM-Richtlinien, die sich auf Microsoft 365-Apps (wie Outlook, Teams oder OneDrive) sowie auf Drittanbieter-Apps anwenden lassen. Administratoren können diese Richtlinien zentral verwalten und anpassen, um Sicherheitsanforderungen des Unternehmens zu erfüllen.
Hier einige beispielhafte MAM-Richtlinien:

• Zugriffsschutz: Mitarbeitende müssen sich per PIN oder biometrischer Authentifizierung in Unternehmens-Apps anmelden.
• Datenkontrolle: Unternehmensdaten dürfen nur in bestimmten Apps gespeichert oder geteilt werden.
• Löschung bei Inaktivität: Unternehmensdaten werden automatisch gelöscht, wenn eine App längere Zeit nicht genutzt wird. 

Erfahrung von Baggenstos mit MAM

Natürlich liessen sich Windows-Laptops immer schon gut zentral in einer Microsoft-Umgebung verwalten. Eine Herausforderung stellten dagegen früher Smartphones und Tablets auf Basis von Android und iOS dar. Mit der Integration von Microsoft Intune können unsere Kunden nun alle Endpoints, egal ob Windows, iOS/iPadOS oder Android (sowie eingeschränkt auch macOS), zentral verwalten und absichern. Damit lassen sich wie beschrieben Sicherheitsrichtlinien einheitlich umsetzen, Geräte und Apps effizient managen und Unternehmensdaten vor unbefugtem Zugriff schützen. Unsere Kunden profitieren so von einer ganzheitlichen Lösung, die sowohl Geräte- als auch App-Verwaltung flexibel und sicher gestaltet.

Fazit

Microsoft MAM ist die ideale Lösung für Unternehmen, die ihre Daten schützen wollen, ohne die volle Kontrolle über Mitarbeitenden-Geräte zu benötigen. Es bietet die perfekte Balance zwischen Sicherheit und Benutzerfreundlichkeit – ein entscheidender Faktor für moderne, flexible Arbeitsumgebungen.
Unternehmen, die bereits Microsoft 365 oder Microsoft Intune nutzen, sollten MAM als wichtige Ergänzung in ihre IT-Sicherheitsstrategie aufnehmen, um Datenverluste und Sicherheitsrisiken effektiv zu minimieren.

Dies ist der erste Teil unserer zweiteiligen Serie über die sichere Verwaltung mobiler Endgeräte und Anwendungen. Im zweiten Teil widmen wir uns dem «Microsoft Mobile Device Management» (MDM), bei dem das gesamte Gerät in der Cloud verwaltet wird.

Quelle und weiterführende Links

• Was ist die Microsoft Intune App-Verwaltung? (deutsche Übersetzung, englischer Original-Artikel)
• Video Was ist Microsoft Intune? (Deutsch, 8:16 min.)
• Video «MDM vs MAM: What’s the Difference?» (3:56 min.) sowie Blogpost zum selben Thema (beides Englisch) über die Gemeinsamkeiten und die vier entscheidenden Unterschiede zwischen MDM und MAM.